Captain Kirk

Door je gegevens op te slaan in Gmail, ben je akkoord gegaan met de voorwaarden van Google. Grofweg houd dit in dat zij je gegevens in ouden kunnen zien. Maar zij mogen deze gegevens, in dit geval de adressen, niet gebruiken of doorverkopen voor bijvoorbeeld reclamedoeleinden. Hiervoor worden zij door de waakhonden in de gaten gehouden. Daarnaast hebben alle bedrijven een AVG-convernant moeten aangaan. Bij schending of ontbreken hiervan kunnen zij tegen boeteclaims van miljoenen aanlopen. Los hier van zou ik persoonlijk niet kiezen voor je Gmail voor het opslaan van de gegevens. Mail kan nogal hack-gevoelig zijn. Wanneer iemand inbreekt op je mail, zijn alle gegevens zo op te halen. Ik gebruik zelf voor dit soort gegevens een Excel-bestand en bewaar deze niet alleen versleuteld maar ook in een versleutelde map lokaal op een computer. Als het goed is heeft de vereniging vanuit de AVG genoteerd staan wie welke gegevens bewaart, voor hoe lang en om welke reden. Wanneer je in dit document aan geeft hoe en wat jullie de gegevens bewaren, zit je goed. Ook bij een diefstal van de gegevens. Ik hoop je hierbij een beetje duidelijkheid te hebben gegeven. De wet is namelijk voor scholen en verenigingen best een monster. Dat weet ik uit ervaring als oa de Privacy Officier voor een school ;) Greetings, Captain Kirk

De Sodinokibi-ransomware die door verschillende securitybedrijven als de opvolger van de beruchte GandCrab-ransomware wordt gezien maakt nu ook gebruik van macro's in Microsoft Office-bestanden om slachtoffers te infecteren. De Sodinokibi-ransomware kwam eerder in het nieuws omdat het een recent gepatchte kwetsbaarheid in Oracle WebLogic-servers gebruikte om zich te verspreiden. Naast het beveiligingslek in Oracle WebLogic maken de aanvallers ook gebruik van kwetsbaarheden in Apache Tomcat en PHPMyAdmin. Volgens securitybedrijf 360 Core Security zijn de aanvallen op deze webapplicaties minder succesvol en maken de aanvallers sinds mei ook gebruik van macro's in Microsoft Office-bestanden om slachtoffers te maken. De aanvallers versturen e-mails met onderwerpen zoals "offerte" en "factuur" om slachtoffers het bestand te laten openen. Zodra de ontvanger van het bestand de macro in het document inschakelt wordt de ransomware gedownload. De ransomware maakt daarbij gebruik van een beveiligingslek in Windows zodat de code met kernelrechten wordt uitgevoerd. Dit beveiligingslek werd op 9 oktober vorig jaar door Microsoft gepatcht. bron: security.nl

Windows Defender, de virusscanner die standaard in Windows 10 zit ingebouwd, gaat straks als Microsoft Defender door het leven. Daarnaast wordt de Windows Defender Exploit Guard omgedoopt naar Microsoft Defender Exploit Guard. Dat ontdekte twitteraar Tero Alhonen in een testversie van Windows 10. Microsoft gebruikte al voor de zakelijke beveiligingsoplossingen de naam Microsoft Defender, maar heeft nu ook besloten om die voor eindgebruikers te gebruiken. In een verklaring tegenover Bleeping Computer stelt Microsoft dat het de beveiligingsoplossingen niet alleen meer op Windows aanbiedt, maar ook daarbuiten. Vanwege deze "cross-platform aanpak" is besloten te naam te wijzigen. Onlangs lanceerde de softwaregigant nog Microsoft Defender Advanced Threat Protection (ATP) voor Mac, waarmee organisaties hun macOS-systemen kunnen monitoren. bron: security.nl

Google komt later deze maand met een oplossing die moet voorkomen dat websites via een "loophole" Chrome-gebruikers in de Incognito-modus kunnen detecteren. Dit zal gevolgen hebben voor websites die deze maas in Chrome gebruiken om te kijken of gebruikers hun paywall omzeilen. Het gaat dan met name om paywalls waarbij gebruikers een aantal artikelen gratis mogen lezen voordat ze moeten inloggen of betalen. Volgens Google is dit een "inherent poreus" model, aangezien de site het aantal gratis gelezen artikelen moet kunnen meten. Vaak gebeurt dit via cookies. Zodra gebruikers de Incognito-mode starten worden die verwijderd en daarmee de teller "gereset". Sommige sites detecteren daarom of gebruikers de Incognito-mode gebruiken. Dit doen ze via een truc. Wanneer de Incognito-mode is ingeschakeld wordt de FileSystem API van Chrome uitgeschakeld, om te voorkomen dat er sporen op het apparaat achterblijven. Sites kunnen op deze API controleren en als ze een foutmelding ontvangen weten ze dat er een privésessie is gestart. Vervolgens kunnen ze gebruikers anders behandelen, aldus Barb Palser van Google. Met Chrome 76 die op 30 juli moet verschijnen zal het gedrag van de API worden aangepast, zodat websites dat niet meer kunnen gebruiken om de Incognito-mode te detecteren. bron: security.nl

Google heeft de beloningen verhoogd voor onderzoekers die kwetsbaarheden in Chrome en Chrome OS rapporteren, waarbij de hoogste beloning wordt uitgekeerd voor een succesvolle aanval op een Chromebook of Chromebox. Onderzoekers die een Chromebook in de gastmodus permanent weten te compromitteren krijgen hiervoor 150.000 dollar. Eerst werd hiervoor nog 100.000 dollar uitgekeerd. De maximale standaard beloning is verhoogd van 5.000 dollar naar 15.000 dollar en voor hoogwaardige bugrapportages wordt nu geen 15.000 dollar, maar 30.000 dollar uitgekeerd. Deze rapportages beschikken over een testcase, een analyse om de oorzaak vast te stellen, een voorstel voor een patch en een demonstratie dat misbruik mogelijk is. Ook moeten onderzoekers snel op vragen vanuit Google reageren. De nieuwe beloningen gelden alleen voor kwetsbaarheden en bugs die vanaf nu worden ingediend. bron: security.nl

Een beveiligingslek in Internet Explorer 10 en 11 dat Microsoft in april van dit jaar patchte wordt inmiddels actief aangevallen. Via de kwetsbaarheid kan een aanvaller in het ergste geval volledige controle over het systeem krijgen. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website is voldoende. Er is geen verdere interactie van de gebruiker vereist. Antivirusbedrijf Trend Micro ontdekte op 9 juli een aanval waarbij de kwetsbaarheid werd gebruikt. Het was de eerste keer dat een exploit voor dit beveiligingslek in het wild is ontdekt. De aanvallers maakten gebruik van een "watering hole" aanval. Bij dergelijke aanvallen compromitteren de aanvallers websites die potentiële doelwitten uit zichzelf bezoeken en voorzien die van exploits. Om welke website het precies ging laat Trend Micro niet weten. Zodra de aanval via het IE-lek succesvol is wordt er een malware-downloader uitgevoerd. Dit programma maakt gebruik van twee kwetsbaarheden in de Windows-kernel om de uiteindelijke malware met kernelrechten te kunnen installeren. De twee beveiligingslekken werden afgelopen maart en april door Microsoft gepatcht. Eenmaal actief op het systeem maakt de malware gebruik van de zakelijke berichtendienst Slack als communicatiemiddel. De aanvallers kunnen via Slack allerlei commando's op het besmette systeem uitvoeren. bron: security.nl

Microsoft heeft het afgelopen jaar zo'n 10.000 gebruikers gewaarschuwd voor aanvallen die door een staat werden uitgevoerd. Het ging zowel om pogingen als succesvolle aanvallen waarbij accounts werden gecompromitteerd. Ongeveer 84 procent van de aanvallen was gericht tegen zakelijke klanten. Via de overige 16 procent van de aanvallen werd geprobeerd om toegang tot de e-mailaccounts van eindgebruikers te krijgen. "Deze cijfers laten zien dat landen in belangrijke mate op cyberaanvallen vertrouwen als tool om inlichtingen te verkrijgen, geopolitiek te beïnvloeden of andere doelen te behalen", stelt Microsofts Tom Burt. De meeste van de aanvallen zijn volgens Burt afkomstig uit Iran, Noord-Korea en Rusland. "Cyberaanvallen blijven een belangrijk middel en wapen dat in cyberspace wordt gebruikt. In sommige gevallen lijken deze aanvallen samen te hangen met pogingen om het democratische proces aan te vallen", gaat Burt verder. Vorig jaar lanceerde Microsoft AccountGuard, een dienst die politici en hun campagneteams tegen digitale aanvallen moet beschermen. De dienst is inmiddels in 26 landen beschikbaar, waaronder Nederland. AccountGuard waarschuwt aangesloten organisaties en politici voor aanvallen. Ook ontvangen deze organisaties informatiemateriaal en best practices om hun systemen en accounts te beschermen, zoals het inschakelen van multifactorauthenticatie en het herkennen van spearphishingaanvallen. Als laatste krijgen aangesloten organisaties toegang tot privé previews van nieuwe beveiligingsmaatregelen die normaal alleen beschikbaar zijn voor grote ondernemingen en overheidsinstellingen. Sinds de lancering heeft Microsoft deelnemers aan AccountGuard 781 keer voor staatsaanvallen gewaarschuwd. In 95 procent van deze gevallen ging het om Amerikaanse organisaties. bron: security.nl

Microsoft wil binnen anderhalf tot twee jaar volledig wachtwoordloos zijn, zo heeft de softwaregigant zichzelf als doel gesteld. Op dit moment kan 90 procent van al het Microsoftpersoneel al zonder wachtwoord inloggen, aldus Bret Arsenault, chief information security officer (CISO) bij Microsoft. Volgens Arsenault is het omgaan met wachtwoorden voor veel organisaties een beveiligingsuitdaging. "Ik kan je vertellen dat het uitrollen van een bedrijfsbrede strategie voor het elimineren van wachtwoorden niet eenvoudig is, maar ook niet zo moeilijk als je denkt", zo laat de Microsoft-CISO in een blog weten waar hij ingaat op het elimineren van wachtwoorden binnen ondernemingen. De eerste stap in dit proces is het verdelen van de groepen gebruikers in het netwerk. Sommige medewerkers zullen vanwege complianceregels met wachtwoorden moeten blijven werken. Zodra dit is gedaan kunnen de vervolgstappen worden genomen, zoals het opstellen van lijsten met verboden wachtwoorden, het gebruik van multifactorauthenticatie, het updaten van hardware zodat de Trusted Platform Module 2.0, FIDO 2.0 of biometrisch inloggen worden ondersteund en als laatste het elimineren van legacy-authenticatie. Het gaat dan onder andere om alle protocollen die basale authenticatie gebruiken en geen tweefactorauthenticatie ondersteunen. "Als je deze stappen volgt heb je een veel betere gebruikerservaring voor je medewerkers en een veiliger netwerk terwijl je werkt naar het elimineren van wachtwoorden in je eigen omgeving", aldus Arsenault. Hij adviseert organisaties wel om in dit proces het personeel te betrekken en de voordelen voor hen duidelijk te maken. bron: security.nl

Microsoft is een open test begonnen waarbij organisaties die van Azure Active Directory (Azure AD) gebruikmaken hun gebruikers via een usb-beveiligingssleutel op apps en diensten kunnen laten inloggen. Dit moet het inloggen via wachtwoorden vervangen, want dat is volgens Microsoft geen effectieve beveiligingsmaatregel meer. "Elke dag stappen meer en meer van onze klanten over op clouddiensten en -applicaties. Ze moeten weten dat de data in deze diensten veilig is. Helaas zijn wachtwoorden geen effectieve beveiligingsmaatregel meer", zegt Alex Simons van Microsoft. Hij wijst naar onderzoek waaruit zou blijken dat 81 procent van de succesvolle cyberaanvallen met gecompromitteerde gebruikersnamen en wachtwoorden begint. "Het is duidelijk dat we onze klanten authenticatie-opties moeten bieden die veilig en eenvoudig te gebruiken zijn, zodat ze op vertrouwelijke wijze informatie kunnen benaderen zonder dat ze bang hoeven te zijn dat hackers hun accounts overnemen", gaat Simons verder. Wachtwoordloos inloggen moet volgens Microsoft het aantal gekaapte accounts aanzienlijk verminderen. Azure AD-gebruikers kunnen nu van een FIDO2-beveiligingssleutel gebruikmaken om in te loggen, alsmede de Microsoft Authenticator-app of Windows Hello. De nieuwe inlogmethodes zijn via een public preview beschikbaar gemaakt. Beheerders kunnen via het Azure AD-beheerdersportaal gebruikers en groepen aangeven die via een FIDO-beveiligingssleutel en Microsoft Authenticator kunnen inloggen. Om via de beveiligingssleutel op Windows 10-machines in te loggen moet wel de laatste versie van Microsoft Edge of Mozilla Firefox zijn geïnstalleerd. Simons merkt op dat Microsoft vier stappen volgt om wachtwoorden te elimineren. Door het aanbieden van wachtwoordalternatieven en vervolgens het overstappen op wachtwoordloos inloggen wil de softwaregigant een omgeving zonder wachtwoorden faciliteren. bron: security.nl

Onderzoekers van de Ben-Gurion Universiteit hebben malware ontwikkeld die via de lampjes van het toetsenbord data kan stelen van computers die niet met internet verbonden zijn. Het is een bekende beveiligingsmaatregel om systemen met vertrouwelijke data niet op internet aan te sluiten. Dit wordt ook wel een air-gap genoemd. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers de afgelopen tijd verschillende methodes, zoals het gebruik van speakers, airconditioning, geluid van de harde schijf, ventilatoren, radiogolven, infraroodcamera's, scanners, afgegeven warmte, usb-straling, mobiele telefoons, harde schijflampjes, routerlampjes en magnetische velden om de gegevens direct naar de aanvaller of via een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen. De onderzoekers hebben nu een aanval ontwikkeld genaamd "CTRL-ALT-LED", waarbij de Caps-Lock, Num-Lock en Scroll-Lock worden gebruikt om data te versturen. De aanval is niet nieuw, want het gebruik van toetsenbordlampjes om data te versturen werd al in 2002 voorgesteld. De onderzoekers wilden echter weten hoe effectief deze methode in de context van moderne cyberaanvallen en optische apparatuur is. De aanval bestaat uit een zender, de besmette machine, en een ontvanger. Als eerste moet een aanvaller het doelsysteem met malware infecteren. Deze malware gebruikt vervolgens de Caps-Lock, Num-Lock en Scroll-Lock om te stelen data te moduleren en encoderen. Op deze manier wordt er een stroom van LED-signalen verstuurd. De ontvanger is bijvoorbeeld een verborgen of gecompromitteerde beveiligingscamera, een hoge resolutie camera of een gecompromitteerde smartphone die de knipperende lampjes ziet. De aanvaller decodeert vervolgens de LED-signalen en krijgt zo de gestolen data in handen. Op deze manier is het mogelijk om op een afstand van bijna 10 meter 30 bits per seconde te versturen met een foutratio van minder dan 1 procent. In het geval iemand met een smartwatch of smartphone dichterbij de LED-signalen kan opvangen, is een snelheid van 120 bits per seconde mogelijk. Wanneer er een lichtsensor als ontvanger wordt gebruikt weten de onderzoekers zelfs 3000 bits per seconde te halen. Om een CTRL-ALT-LED-aanval te voorkomen kunnen organisaties volgens de onderzoekers beleid invoeren waarbij smartphones en smartwatches in gevoelige omgevingen worden verboden. Een andere optie is het uitschakelen van de LED-lampjes of het gebruik van speciale raamfolie. Een andere optie is de LED-lampjes willekeurig te laten knipperen, zodat het signaal van de malware wordt verstoord. bron: security.nl

Criminelen hebben via verkeerd ingestelde Amazon S3-buckets op 17.000 websites kwaadaardige code weten te plaatsen die creditcardgegevens en andere persoonlijke data van bezoekers steelt. Amazon Simple Storage Service (S3) is een cloudopslagdienst die door tal van organisaties wordt gebruikt. Standaard zijn de gegevens in S3-buckets niet zomaar toegankelijk, maar het is mogelijk om een S3-bucket zo te configureren dat iedereen vanaf het internet er toegang toe heeft. Alleen het kennen van de url van de S3-bucket is voldoende. Criminelen zoeken actief naar toegankelijke S3-buckets waarvan iedereen de bestanden kan bekijken en wijzigen. Specifiek wordt er naar JavaScript-bestanden gezocht, zo stelt securitybedrijf RiskIQ. De aanvallers downloaden deze bestanden en voorzien die van kwaadaardige code die invoer van klanten onderschept. Vervolgens worden de aangepaste JavaScript-bestanden weer terug in de S3-bucket geplaatst. De code in de S3-bucket wordt weer geladen door de website. De aangepaste JavaScript-code zorgt er echter voor dat invoer op betaalpagina's van webwinkels en andere websites wordt onderschept en naar de aanvallers gestuurd. Door het aanpassen van de code in de S3-buckets draait er op meer dan 17.000 domeinen kwaadaardige JavaScript-code. Veel van deze gecompromitteerde websites beschikken niet over een betaalpagina. "Het gemak waarmee de sites via publieke S3-buckets zijn te compromitteren houdt in dat als slechts een klein deel van de injecties betaalgegevens oplevert, het de investering waard is", zegt onderzoeker Yonathan Klijnsma van RiskIQ. Webmasters en beheerders krijgen dan ook het advies om ervoor te zorgen dat hun S3-buckets niet voor iedereen toegankelijk zijn. bron: security.nl

NAS-fabrikant QNAP heeft klanten gewaarschuwd voor ransomware die NAS-systemen infecteert en aanwezige bestanden versleutelt. Het gaat om de eCh0raix-Ransomware die NAS-systemen via zwakke wachtwoorden en verouderde firmware zou besmetten. Net als bij andere ransomware moeten slachtoffers voor het ontsleutelen van de versleutelde bestanden betalen. Aangezien NAS-systeem vaak grote hoeveelheden bestanden bevatten kan een infectie vervelende gevolgen hebben. QNAP zegt dat het aan een oplossing werkt om de malware van besmette apparaten te verwijderen. Om besmetting door malware te voorkomen krijgen gebruikers het advies om de laatste versies van de QTS-firmware en Malware Remover te installeren. Tevens wordt het gebruik van een sterker beheerderswachtwoord aangeraden en moeten gebruikers Network Access Protection inschakelen om bruteforce-aanvallen tegen accounts te voorkomen. Wie geen gebruikmaakt van SSH en Telnet doet er volgens QNAP verstandig aan om deze protocollen op het apparaat uit te schakelen. Als laatste wordt aangeraden om de standaard poortnummers 443 en 8080 niet te gebruiken. bron: security.nl

Eén van de twee zerodaylekken waarvoor Microsoft afgelopen dinsdag een beveiligingsupdate uitbracht is in combinatie met macro-malware gebruikt. Via het lek kon de malware zijn rechten op het systeem verhogen. Om besmet te raken moest het slachtoffer wel eerst een kwaadaardige macro activeren. Dat meldt antivirusbedrijf ESET in een analyse van de aanval. Onderzoekers van het bedrijf ontdekten het zerodaylek in juni en informeerden Microsoft, dat dinsdag met een update kwam. De kwetsbaarheid was aanwezig in Windows 7 en Server 2008 en is ingezet bij een "zeer gerichte aanval in Oost-Europa", aldus onderzoeker Anton Cherepanov. Het doelwit was een overheidsorganisatie, maar verdere details zijn niet bekendgemaakt. De aanval zou zijn uitgevoerd door een groep die in het verleden Russische banken en bedrijven aanviel. Nu houdt de groep zich bezig met cyberspionage, aldus de onderzoekers. Het zerodaylek in Windows is op zichzelf niet genoeg om een systeem te infecteren. Hiervoor maakt de groep gebruik van documenten met kwaadaardige macro's. Wanneer slachtoffers de macro in het document inschakelen wordt de malware geïnstalleerd. Door gebruik te maken van het zerodaylek kon de malware met kernelrechten worden uitgevoerd. Bij de aanval tegen de Oost-Europese overheidsinstantie werd onder andere een wachtwoordsteler gebruikt, die wachtwoorden uit e-mailclients, browsers en andere programma's steelt en naar de aanvallers terugstuurt. Daarnaast maakten de aanvallers gebruik van een tweede module. Het gaat om een installatieprogramma van het gratis antiviruspakket AVZ dat werd gebruikt om de primaire backdoor te laden. Het tweede zerodaylek dat Microsoft afgelopen dinsdag patchte werd ontdekt door securitybedrijf Rescurity en maakt het ook mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen. Dit bedrijf heeft nog geen details over de kwetsbaarheid en betreffende aanval vrijgegeven. bron: security.nl

Microsoft heeft een nieuwe testversie van Windows 10 uitgebracht die wachtwoordloos inloggen voor Microsoft-accounts ondersteunt. Volgens de softwaregigant moet dit de veiligheid verbeteren en het inloggen eenvoudiger maken. In plaats van een wachtwoord kunnen gebruikers ervoor kiezen om via Windows Hello op hun Microsoft-account in te loggen. Gebruikers authenticeren zich dan via hun gezicht, vingerafdruk of pincode. De pincode van Windows Hello werkt alleen op het apparaat waarop het is ingesteld. Een aanvaller die de pincode van de gebruiker kent heeft ook zijn computer nodig om op het betreffende Microsoft-account te kunnen inloggen. Microsoft merkt op dat het wachtwoordloos inloggen in eerste instantie onder een klein deel van de testers van Windows 10 Insider Preview Build 18936 wordt uitgerold. Wanneer de feature in de standaardversie van Windows 10 verschijnt is nog niet bekendgemaakt. bron: security.nl

Mozilla gaat certificaten van het omstreden securitybedrijf DarkMatter blokkeren, wat inhoudt dat Firefoxgebruikers bij het bezoeken van websites die van deze certificaten gebruikmaken een waarschuwing te zien krijgen. Volgens verschillende media houdt DarkMatter zich bezig met cybersurveillance in de Verenigde Arabische Emiraten, waarbij het zich onder andere richt op mensenrechtenactivisten en journalisten. Browsers en besturingssystemen vertrouwen tls-certificaten, die websites voor een versleutelde verbinding gebruiken, alleen als ze het rootcertificaat vertrouwen waaronder het tls-certificaat is uitgegeven. DarkMatter beschikt op dit moment over een "intermediate" certificaat van een ander bedrijf genaamd QuoVadis, dat eigendom van DigiCert is. Met een intermediate certificaat kan DarkMatter voor willekeurige domeinen tls-certificaten uitgeven. Het toezicht hierop vindt plaats door DigiCert. DarkMatter had echter aan Mozilla gevraagd om een eigen rootcertificaat aan Firefox toe te voegen. Dit stuitte op verzet van beveiligingsexperts en burgerrechtenbewegingen die bang voor misbruik zijn. DarkMatter zou certificaten kunnen uitgeven waarmee man-in-the-middle-aanvallen tegen internetgebruikers zijn uit te voeren. Mozilla werd dan ook opgeroepen om dit verzoek te weigeren en de huidige intermediate certificaten te verwijderen. Naar aanleiding van het verzoek van DarkMatter en de oproep om het vertrouwen in de huidige certificaten op te zeggen vroeg Mozilla om feedback. Nu een aantal maanden later heeft de browserontwikkelaar een beslissing genomen. Volgens Mozillas Wayne Thayer is er naar allerlei elementen gekeken waarom certificaten van DarkMatter wel of niet zijn te vertrouwen, maar komt de beslissing uiteindelijk neer op het principe van Mozilla. Namelijk dat het de verantwoordelijkheid heeft om Firefoxgebruikers te beschermen. Vanuit dit standpunt is besloten om het vertrouwen in de intermediate certificaten van DarkMatter op te zeggen en het rootcertificaat van het bedrijf niet aan Firefox toe te voegen. Tevens zal Mozilla ook toekomstige verzoeken van DigitalTrust weigeren. Het proces om de certificaten te blokkeren zal binnenkort worden gestart. bron: security.nl

Update De makers van videoconferentiesoftware Zoom hebben na felle kritiek van gebruikers en beveiligingsexperts toch besloten een update uit te brengen. Ook erkent het bedrijf dat het de problemen die onderzoeker Jonathan Leitschuh ontdekte initieel niet als een groot risico beschouwde. Leitschuh ontdekte dat het mogelijk is voor websites om Zoom-gebruikers ongevraagd aan een meeting deel te laten nemen waarbij hun webcam wordt ingeschakeld. Hiervoor is er geen enkele interactie van gebruikers vereist. In het geval gebruikers de Zoom-software hebben verwijderd is het via de achtergebleven localhost-webserver nog steeds mogelijk voor websites om de Zoom-software opnieuw te installeren. Wederom is er geen enkele interactie van de gebruiker vereist, behalve het bezoeken van een malafide site. Naar aanleiding van de gevonden kwetsbaarheden stelde Zoom dat het voor gebruikers zo eenvoudig mogelijk moet zijn om aan meetings en gesprekken deel te nemen. Het probleem met de webserver zou dan ook niet worden verholpen. Wel zou er een update uitkomen die de video-instelling van de eerste Zoom-meeting zal onthouden. In een nieuwe reactie laat Zoom weten dat het een update heeft uitgebracht waarmee de lokale webserver wordt verwijderd. Tevens kunnen gebruikers Zoom handmatig volledig verwijderen, inclusief de lokale webserver. Zoom erkent dat het de problemen met de webserver en de ingeschakelde webcam initieel niet als een groot risico voor gebruikers zag. Na kritiek van gebruikers en beveiligingsexperts heeft het toch besloten om met updates te komen. Dit weekend zal er een tweede update verschijnen die de keuze onthoudt als gebruikers bij hun eerste Zoom-meeting de webcam uitschakelen. bron: security.nl

Mozilla gaat certificaten van het omstreden securitybedrijf DarkMatter blokkeren, wat inhoudt dat Firefoxgebruikers bij het bezoeken van websites die van deze certificaten gebruikmaken een waarschuwing te zien krijgen. Volgens verschillende media houdt DarkMatter zich bezig met cybersurveillance in de Verenigde Arabische Emiraten, waarbij het zich onder andere richt op mensenrechtenactivisten en journalisten. Browsers en besturingssystemen vertrouwen tls-certificaten, die websites voor een versleutelde verbinding gebruiken, alleen als ze het rootcertificaat vertrouwen waaronder het tls-certificaat is uitgegeven. DarkMatter beschikt op dit moment over een "intermediate" certificaat van een ander bedrijf genaamd QuoVadis, dat eigendom van DigiCert is. Met een intermediate certificaat kan DarkMatter voor willekeurige domeinen tls-certificaten uitgeven. Het toezicht hierop vindt plaats door DigiCert. DarkMatter had echter aan Mozilla gevraagd om een eigen rootcertificaat aan Firefox toe te voegen. Dit stuitte op verzet van beveiligingsexperts en burgerrechtenbewegingen die bang voor misbruik zijn. DarkMatter zou certificaten kunnen uitgeven waarmee man-in-the-middle-aanvallen tegen internetgebruikers zijn uit te voeren. Mozilla werd dan ook opgeroepen om dit verzoek te weigeren en de huidige intermediate certificaten te verwijderen. Naar aanleiding van het verzoek van DarkMatter en de oproep om het vertrouwen in de huidige certificaten op te zeggen vroeg Mozilla om feedback. Nu een aantal maanden later heeft de browserontwikkelaar een beslissing genomen. Volgens Mozillas Wayne Thayer is er naar allerlei elementen gekeken waarom certificaten van DarkMatter wel of niet zijn te vertrouwen, maar komt de beslissing uiteindelijk neer op het principe van Mozilla. Namelijk dat het de verantwoordelijkheid heeft om Firefoxgebruikers te beschermen. Vanuit dit standpunt is besloten om het vertrouwen in de intermediate certificaten van DarkMatter op te zeggen en het rootcertificaat van het bedrijf niet aan Firefox toe te voegen. Tevens zal Mozilla ook toekomstige verzoeken van DigitalTrust weigeren. Het proces om de certificaten te blokkeren zal binnenkort worden gestart. bron: security.nl

Tijdens de patchdinsdag van juli heeft Microsoft meer dan 70 kwetsbaarheden verholpen waaronder twee beveiligingslekken in Windows die actief werden aangevallen voordat er updates beschikbaar waren. Daarnaast waren details van zes andere kwetsbaarheden al openbaar gemaakt, maar volgens Microsoft zijn er geen aanvallen waargenomen die er misbruik van maakten. Het eerste zerodaylek is aanwezig in Windows 8.1 en Windows 10 en Server 2012, 2016 en 2019. De tweede zeroday bevindt zich in Windows 7 en Server 2008. Beide kwetsbaarheden maken het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen. In het geval van de tweede zeroday was het mogelijk om code met kernelrechten uit te voeren. De zerodaylekken zijn op zichzelf niet voldoende om een systeem te compromitteren en moeten bijvoorbeeld met een ander beveiligingslek worden gecombineerd. De kwetsbaarheden werden gevonden door securitybedrijven ESET en Resecurity. Verdere details over de aanvallen waarbij de lekken werden aangevallen zijn niet bekendgemaakt. De zes kwetsbaarheden waarvan de details al openbaar waren bevonden zich in Docker, SymCrypt, Remote Desktop Services, Azure, Microsoft SQL Server en Windows. Via de lekken in Remote Desktop Services en Microsoft SQL Server was het mogelijk voor een aanvaller om willekeurige code uit te voeren. De andere vier kwetsbaarheden maakten een denial of service mogelijk of lieten een aanvaller zijn rechten verhogen. Het SymCrypt-lek, dat Windows-servers kan laten vastlopen, werd vorige maand door een Google-onderzoeker openbaar gemaakt. Verder heeft Microsoft kwetsbaarheden in Windows, Internet Explorer, Edge, Microsoft Office, Azure DevOps, .NET Framework, Azure, SQL Server, ASP.NET, Visual Studio, Exchange Server en niet nader genoemde "open source software" gepatcht. Op de meeste systemen worden de updates automatisch geïnstalleerd. bron: security.nl

Er is vandaag een nieuwe Firefox verschenen die gebruikers door Mozilla gecontroleerde extensies aanraadt. De maatregel moet bijdragen aan een veiliger extensie-ecosysteem, zegt Mozilla's Marissa Wood. Extensies vormen een belangrijk onderdeel van Firefox, aangezien ze gebruikers de mogelijkheid geven om de browser aan hun voorkeuren aan te passen. Dit brengt ook risico's met zich mee. Malafide extensies kunnen bijvoorbeeld allerlei gevoelige gegevens stelen of kwaadaardige acties uitvoeren. Het "Recommended Extensions" programma moet gebruikers de zekerheid geven dat ze een veilige, goedwerkende extensie installeren. Ook moet het om een extensie gaan die een groot publiek aanspreekt. Alle extensies op de lijst zijn gecontroleerd op veiligheid, nut en bruikbaarheid. Eén van de aanbevolen extensies is de gratis wachtwoordmanager Bitwarden. Daarnaast is het in Firefox 68 eenvoudiger om malafide extensies te rapporteren. Dit is nu direct via de Firefox Add-ons Manager te doen. Een andere nieuwe feature verhelpt de tls-foutmeldingen die antivirusprogramma's veroorzaken. Een deel van deze programma's onderschept het https-verkeer van gebruikers, om het op zaken als malware en phishing te controleren. Doordat https-verkeer is versleuteld, is het standaard niet toegankelijk voor antivirussoftware. Virusscanners omzeilen dit door een eigen rootcertificaat op computers te installeren, waardoor de inhoud van het webverkeer toch geanalyseerd kan worden. Firefox herkent dit certificaat niet en geeft daarom een waarschuwing. Firefox beschikt over een optie waardoor rootcertificaten die door de gebruiker of een programma op de computer zijn geïnstalleerd, toch door de browser worden vertrouwd. Vanaf Firefox 68 zal de browser wanneer het ziet dat verkeer wordt onderschept deze optie automatisch inschakelen en de verbinding opnieuw proberen. Als dit het probleem verhelpt blijft de optie ingeschakeld, tenzij de gebruiker die handmatig uitschakelt. Https voor toegang tot camera en microfoon Verder moeten websites en applicaties die toegang tot de webcam en microfoon willen nu verplicht een https-verbinding gebruiken. "Camera en microfoon zijn krachtige features en Firefox zal ze alleen in een veilige context toegankelijk maken", stelt Mozillas Jan-Ivar Bruaroey, die het een veiligheids- en privacyverbetering noemt. In Google Chrome was het gebruik van https om de camera of microfoon te kunnen benaderen al verplicht. Firefox 68 verhelpt ook meerdere kwetsbaarheden, maar die zijn op het moment van schrijven nog niet openbaar gemaakt. Updaten naar de nieuwste versie kan via de automatische updatefunctie en Mozilla.org. bron: security.nl

De versleutelde e-maildienst Tutanota biedt gebruikers nu ook een gratis end-to-end versleutelde cloudkalender, alsmede end-to-end versleutelde aankondigingen van aankomende afspraken. "In tegenstelling tot andere kalenderdiensten weten we niet wanneer, waar of met wie je een afspraak hebt. We hebben geen zicht op je dagelijkse activiteiten", aldus Matthias Pfau, medeoprichter van Tutanota. Pfau stelt dat alle online kalenders de gegevens van hun gebruikers in de cloud opslaan, waar ze eenvoudig toegang tot persoonlijke data kunnen krijgen. Tutanota slaat gegevens ook in de cloud op. "Maar door de ingebouwde end-to-end-encryptie hebben alleen gebruikers met hun wachtwoord toegang tot de data", aldus Pfau. Hij merkt op dat met name het versturen van de versleutelde notificaties erg veel tijd in beslag nam. De kalender bevindt zich nog in de bètafase. De definitieve versie zal dan ook over veel meer features beschikken. "De versleutelde kalender is de volgende feature op weg om een veilig Google-alternatief te worden", besluit Pfau. Tutanota biedt gratis accounts, alsmede betaalde abonnementen. De broncode van de gehele e-maildienst is daarnaast open source. bron: security.nl

Een beveiligingslek in de videoconferentiesoftware Zoom maakt het voor willekeurige websites mogelijk om toegang tot miljoenen webcams te krijgen. Alleen het bezoeken van een website volstaat om de aanval uit te voeren. De software van Zoom zou door meer dan 750.000 bedrijven wereldwijd worden gebruikt. Organisaties gebruiken het voor videoconferenties en andere zaken. Zoom claimde in 2015 meer dan 40 miljoen gebruikers te hebben. Een kwetsbaarheid in de Zoom-software voor macOS zorgt ervoor dat willekeurige websites gebruikers zonder toestemming aan een Zoom-gesprek kunnen laten deelnemen, met hun webcam ingeschakeld. In het geval gebruikers de Zoom-software hebben verwijderd is het via de achtergebleven localhost-webserver nog steeds mogelijk voor websites om de Zoom-software opnieuw te installeren. Wederom is er geen enkele interactie van de gebruiker vereist, behalve het bezoeken van een malafide site. De kwetsbaarheid die toegang tot de webcam geeft maakt gebruik van een feature in Zoom om uitnodigingslinks te versturen. Zodra een gebruiker een dergelijke link in hun browser opent wordt de Zoom-software gestart. Onderzoeker Jonathan Leitschuh ontdekte dat deze feature niet op veilige wijze is geïmplementeerd. Het is mogelijk om de uitnodigingslink in een iframe te verbergen die vervolgens bij het bezoeken van de betreffende website automatisch wordt uitgevoerd. Leitschuh rapporteerde de kwetsbaarheid op 26 maart van dit jaar aan Zoom. Het softwarebedrijf had tien dagen nodig om de kwetsbaarheid te bevestigen. Uiteindelijk heeft Zoom besloten de kwetsbaarheden waardoor gebruikers door alleen het bezoeken van een website aan een videoconferentie kunnen worden toegevoegd of de Zoom-software opnieuw wordt geïnstalleerd niet te verhelpen. Het bedrijf wil het naar eigen zeggen zo eenvoudig mogelijk voor gebruikers maken om aan een meeting deel te nemen, aldus de verklaring. Zoom stelt verder dat gebruikers zien dat ze zonder hun toestemming zijn uitgenodigd aan een gesprek of meeting en die vervolgens kunnen verlaten. Tevens zal het bedrijf een update uitbrengen die ervoor zorgt dat de video-instelling van de eerste Zoom-meeting wordt onthouden. Als gebruikers bij die eerste meeting hebben ingesteld dat de webcam moet zijn uitgeschakeld, zal dit ook voor toekomstige meetings gelden. Daarnaast hebben gebruikers de optie om de webcam via de instellingen uit te schakelen. bron: security.nl

Microsoft waarschuwt gebruikers voor een aanvalscampagne waarbij lnk-bestanden worden gebruikt om een backdoor op systemen te installeren. De aanval begint met een e-mail die naar een malafide url met documenten, certificaten of bestellingen lijkt te wijzen. Zodra de gebruiker op de link klikt krijgt die een zip-bestand aangeboden. Dit zip-bestand bevat het kwaadaardige lnk-bestand genaamd certidao.htm.lnk. Lnk-bestanden worden vaak als snelkoppeling op het bureaublad gebruikt, maar kunnen ook scripts aanroepen die vervolgens malware op het systeem installeren. In het geval van de aanval waarvoor Microsoft waarschuwt maken de aanvallers ook nog eens gebruik van een dubbele extensie. Windows laat standaard extensies niet zien, waardoor slachtoffers kunnen denken dat het om een htm-bestand gaat. Het openen van het lnk-bestand zorgt ervoor dat de Astaroth-backdoor wordt geïnstalleerd. Deze backdoor is ontwikkeld voor het stelen van gevoelige informatie van systemen, zoals wachtwoorden, toetsaanslagen en andere data, die vervolgens naar de aanvaller worden gestuurd. Met deze gestolen data kan de aanvaller zich lateraal door het netwerk van de aangevallen organisatie bewegen, financiële fraude plegen of gegevens van het slachtoffer aan andere criminelen verkopen, aldus Microsoft, dat de malware detecteert. bron: security.nl

In een RubyGem waarmee applicaties de sterkte van de wachtwoorden van hun gebruikers kunnen meten is een backdoor aangetroffen. Het gaat om de RubyGem StrongPassword. RubyGems zijn packages die een Ruby-applicatie of -library bevatten en eenvoudig door andere software zijn te gebruiken. Onlangs verscheen er op RubyGems.org, de officiële RubyGems-repository, een nieuwe versie van StrongPassword. Via RubyGems.org kunnen ontwikkelaars allerlei libraries downloaden en binnen hun applicatie gebruiken. In het geval van StrongPassword was er geen melding gemaakt van aanpassingen in de nieuwe versie. Webontwikkelaar Tute Costa analyseerde de nieuwe versie en ontdekte een backdoor waardoor een aanvaller op afstand code kan uitvoeren. Costa waarschuwde de ontwikkelaar. Die liet weten dat iemand de controle over StrongPassword op RubyGems.org had gekregen en zodoende een malafide nieuwe versie kon aanbieden. Costa informeerde ook de security-coördinator van Ruby on Rails, waarna de malafide versie werd verwijderd en de oorspronkelijke ontwikkelaar weer controle over StrongPassword kreeg. Inmiddels was de gebackdoorde versie 537 keer gedownload. Hoe de aanvaller controle over de RubyGem wist te krijgen is niet bekendgemaakt. Op Hacker News vragen verschillende mensen dan ook om een uitleg van RubyGems.org over de aanval. In april werd er in een andere Ruby-library op de website ook een backdoor aangetroffen. bron: security.nl

Draadloze toetsenborden en muizen van fabrikant Logitech zijn door een beveiligingslek op afstand af te luisteren, waardoor een aanvaller bijvoorbeeld wachtwoorden kan achterhalen en zelfs het systeem met malware kan infecteren. Het is namelijk niet alleen mogelijk om het draadloze verkeer tussen de computer en het toetsenbord te onderscheppen, een aanvaller kan ook malafide commando's naar de computer sturen. De problemen, die werden ontdekt door beveiligingsonderzoeker Marcus Mengs, spelen bij alle Logitech-apparaten die van de zogeheten Unifying-radiotechnologie gebruikmaken. Kwetsbare Unifying usb-ontvangers en draadloze toetsenborden worden sinds 2009 door Logitech geleverd, zo meldt het Duitse Heise. De technologie wordt zowel in goedkope als duurdere modellen gebruikt. De kwetsbare usb-ontvangers zijn via een klein logo van een oranje ster te herkennen. Heise laat weten dat Logitech sommige van de kwetsbaarheden zal verhelpen, maar niet allemaal. Dit zou namelijk voor comptabiliteitsproblemen tussen verschillende Unifying-producten kunnen zorgen. Het gaat onder andere om een kwetsbaarheid waardoor een aanvaller toetsenbordcommando's in het versleutelde radioverkeer van de Unifying-toetsenborden kan injecteren, zonder dat de encryptiesleutel bekend hoeft te zijn. De aanvaller moet in dit geval wel tijdelijk toegang tot het toetsenbord hebben en wat toetsen indrukken. Het opgenomen radioverkeer is vervolgens te gebruiken om op afstand de aanval uit te voeren. Een andere kwetsbaarheid, waardoor een aanvaller de versleutelde communicatie kan ontsleutelen als het pairingproces is opgenomen, zal ook niet worden verholpen. Logitech adviseert om apparaten alleen te pairen wanneer het zeker is dat er binnen een straal van tien meter "geen verdachte activiteit" plaatsvindt. Twee andere kwetsbaarheden waardoor een aanvaller met toegang tot de ontvanger de encryptiesleutel kan achterhalen, die voor het versleutelen van de communicatie wordt gebruikt, zal Logitech wel patchen. Gebruikers krijgen het advies om op firmware-updates te controleren. Wie geen risico wil lopen wordt aangeraden een keyboard en muis met draad te gebruiken. bron: security.nl

Sinds vorige maand blokkeert Firefox standaard third-party trackingcookies die worden gebruikt om internetgebruikers op internet te volgen en gerichte advertenties te tonen. Binnenkort zal de browser ook laten zien hoeveel trackers het dagelijks blokkeert. Naast het blokkeren van verschillende soorten trackers worden ook fingerprinters en cryptominers door de browser tegengehouden. Om gebruikers een idee te geven van hoeveel tracking er plaatsvindt genereert de browser straks een "Protection Report". In het rapport staat het totaal aantal geblokkeerde trackers in de afgelopen week, alsmede het totaal aantal geblokkeerde trackers sinds het begin. Trackers worden verdeeld over socialmediatrackers zoals like-knoppen, cross-site trackingcookies die gebruikers over meerdere websites volgen, advertentietrackers en fingerprinters die gebruikers op basis van hun systeem en instellingen tracken. Daarnaast laat het overzicht ook het aantal geblokkeerde cryptominers zien, die de rekenkracht van het systeem gebruiken om cryptovaluta te delven. Het overzicht is nu al te bekijken in de Nightly-versie van Firefox 69 door in de adresbalk "about:protections" in te voeren. Mozilla laat via Twitter weten dat het getoonde rapport vooralsnog een voorbeeld is. Firefox Nightly is een vroege testversie van de browser. De definitieve versie van Firefox 69 staat gepland voor 3 september. bron: security.nl